Höchste Sicherheit für Ihre elektronische Kommunikation

Transkript

1 Höchste Sicherheit für Ihre elektronische Kommunikation

2

3 Inhalt 2 Neue Möglichkeiten erschließen Kostenvorteile realisieren 3 Moderne VPN-Technologie mit ganzheitlichem Ansatz 4 Die SINA-Lösungsfamilie 8 Produktpipeline 9 Sicherheitsmerkmale 12 secunet Ihr Partner für IT-Sicherheit

4 Neue Möglichkeiten erschließen Kostenvorteile realisieren Die umfassende Nutzung der elektronischen Kommunikation verschafft staatlichen und privaten Institutionen entscheidende Vorteile: Die Vernetzung aller weltweiten Dependancen, Mitarbeiter und Geschäftspartner erschließt neue Geschäftspotenziale und Kundengruppen. Darüber hinaus führt die Nutzung der kostengünstigen Kommunikation über das Internet und die konsequente Digitalisierung von Prozessen (Workflows) zu erheblichen Kostensenkungen. Die Voraussetzung für die umfassende Nutzung der elektronischen Kommunikation ist jedoch deren uneingeschränkte Sicherheit. Unbefugte dürfen keinen Zugriff auf vertrauliche Daten erhalten. Die Komponenten der Sicheren Inter-Netzwerk Architektur (SINA) ermöglichen sowohl die hochgradig gesicherte Kommunikation auf der Basis von VPN-Technologie als auch die Bearbeitung sensitiver Informationen auf einer sicheren Betriebssystem-Plattform. Die Einzelkomponenten werden ständig weiterentwickelt und an neue Anforderungen angepasst. Als bislang einzige Internet-Protokoll-basierte Lösung hat SINA vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zulassungen für die Übertragung von Verschlusssachen der Klassen VS-NfD, VS-VERTRAULICH und GEHEIM erhalten. Darüber hinaus verfügt SINA in Deutschland über die NATO-Zulassung für die Übermittlung von Informationen bis zur Klasse SECRET. SINA-Komponenten werden bei zahlreichen nationalen und internationalen Kunden eingesetzt. So sichert SINA z. B. die Kommunikation im Informationsverbund der Bundesverwaltung (IVBV) und auch das Auswärtige Amt hat sich zur Vernetzung aller deutschen Botschaften und Vertretungen weltweit für SINA entschieden. >> einzige IP-basierte Lösung mit BSI-Zulassung bis GEHEIM >> 2 (Nr ) u. SINA (Nr ) sind eingetragene europäische Wortmarken der secunet Security Networks AG.

5 Moderne VPN-Technologie mit ganzheitlichem Ansatz Die Kommunikation zwischen SINA-Systemen basiert auf dem Sicherheitsprinzip eines Virtuellen Privaten Netzwerkes, kurz VPN. Dabei wird der gesamte Datenverkehr zwischen Standorten bzw. bis zum individuellen Arbeitsplatz durchgehend kryptographisch entsprechend dem Standard IPSec geschützt. Die SINA-Komponenten selbst werden durch umfassende Mechanismen auf der Betriebssystem-Plattform (SINA-Linux) abgesichert. Komplettes Sicherheitssystem SINA ist eine starke Basis für alle Sicherheitsanwendungen. Die Authentifizierung von Nutzern erfolgt über Smartcards, die in einer eigenen PKI generiert werden können. Darüber hinaus verfügt die SINA Architektur über leistungsstarke Firewall- Funktionalitäten sowie Intrusion Detection & Response-Funktionen. In Summe ergibt dies ein ganzheitliches Sicherheitspaket auf höchstem Niveau. Universelle Einsetzbarkeit SINA nutzt ausschließlich bewährte Standard-PC- Hardware, die kostengünstig und zudem langfristig lieferbar ist. SINA lässt sich zudem in jede zugrunde liegende IP-basierte IT-Infrastruktur integrieren. Auch Videokonferenzen lassen sich mit SINA auf höchstem Niveau absichern. >> die sichere Vernetzung erschließt schnelle und kostengünstige Kommunikation >> 3

6 Die SINA-Lösungsfamilie SINA Box Dieses VPN-Gateway basiert auf einem speziell minimalisierten und gehärteten Linux-Betriebssystem. Die Kryptoalgorithmen sind frei wählbar. Hardware-basierte Kryptomodule können einfach über eine generische Kryptoschnittstelle in das System integriert werden. Die einzigartige Sicherheit der SINA Box ist bereits mehrfach anerkannt worden: Zulassung des BSI für Datenübermittlung der Schutzklassen VS-VERTRAULICH und GEHEIM Zulassung der NATO für Informationen bis zur Klasse SECRET in Deutschland Zulassung der Regulierungsbehörde für Telekommunikation und Post (Reg TP) für die Übermittlung hochsensitiver Telekommunikationsdaten VPN-Plattform für die Vernetzung der Auslandsvertretungen mit der Zentrale des Auswärtigen Amtes SINA Cluster SINA Cluster bestehen aus einer Gruppe untereinander gekoppelter SINA Boxen, zwischen denen der zu übertragende Datenstrom aufgeteilt wird. Dies ermöglicht eine nochmals gesteigerte Geschwindigkeit sowie eine hohe Verfügbarkeit. Eventuelle Ausfälle einer SINA Box werden von den Nutzern nicht bemerkt. In diesem Fall werden sämtliche betroffene Verbindungen von den anderen SINA Boxen des Clusters mit übernommen. SINA Hot Standby In der SINA-Hot Standby Variante wird diese Redundanz durch eine passive Box erreicht, die im Fehlerfall automatisch einspringt. >> einzigartige Sicherheit >> >> hohe Geschwindigkeit >> 4

7 Server LAN Server LAN geschützter Bereich PC SINA Box PC SINAvpn- Box Box (Terminal-) Server LAN SINA Box öffentliche Netze z.b. Internet SINA (Thin-)Client IPsec- Tunnel Roaming User SINA (Thin-)Client Firewall PC Server LAN SINA Box (Terminal-) Server LAN Server Internet- Gate >> Smartcard-gesicherter Arbeitsplatz >> 5

8 SINA One-way Gateway In der täglichen Arbeit ist man häufig darauf angewiesen, potenziell unsichere Informationen (z. B. aus dem Internet) in vertrauliche Dokumente einzuarbeiten oder weniger sensitive Inhalte aus geschützten Bereichen in offenen Dokumenten weiter zu verwenden. Das SINA One-way Gateway (Datendiode) stellt sicher, dass der Datentransfer wirklich nur in die gewünschte Richtung erfolgt. SINA Thin Client Der SINA Thin Client ist ein Smartcard-gesicherter Arbeitsplatz, auf dem keine sensiblen Daten vorgehalten werden. Vielmehr werden hier mittels Terminal-Server-Protokoll nur Bildschirmausgaben der im geschützten Bereich stehenden Server verarbeitet. Der SINA Thin Client arbeitet online, benötigt keine Festplatte und wird von CD-ROM oder Flash-ROM gestartet. Der SINA Thin Client ist als einziger Client in Deutschland vom BSI für die IP-basierte Bearbeitung und Übermittlung von Verschlusssachen bis zum Geheimhaltungsgrad GEHEIM zugelassen. SINA Virtual Workstation Mit der SINA Virtual Workstation können sensitive Daten auch offline bearbeitet und gespeichert werden. Damit ist der Nutzer nicht wie beim SINA Thin Client auf einen vernetzten Arbeitsplatz angewiesen. Die SINA-Technologie steht damit auch mobilen Nutzern zur Verfügung. Die Online-Kommunikation kann bei Bedarf über lokale Netze und neuerdings auch per Einwahl über Internet-Provider erfolgen. Für mobile Nutzer ist dies insbesondere in Verbindung mit GSM/GPRS interessant. >> reibungsloser und sicherer Betrieb >> >> integrierte Public Key Infrastruktur >> 6

9 SINA Management Im Rahmen des SINA Managements werden sämtliche Aspekte adressiert, die für die Konfiguration und Administration einer SINA-Umgebung erforderlich sind, um einen reibungslosen und sicheren Betrieb zu ermöglichen. Das SINA Management beinhaltet Komponenten einer Public Key Infrastruktur (PKI), die eine Erstellung digitaler Zertifikate erst ermöglicht, wie Registrierungsinstanzen (RA) und Zertifizierungsinstanzen (CA). Damit wird eine Personalisierung von Smartcards und die Konfigurierung von SINA-Komponenten möglich. Weitere nutzbare Anwendungen sind Verzeichnisdienst (LDAP), Logserver (syslog-ng) und Zeitdienst (NTP). Das SINA Management kann auf einem dedizierten PC oder mehreren Management-PCs skalierbar installiert werden, ermöglicht ein benutzerfreundliches Konfigurationsmanagement und ist gegen System- und Datenverlust robust konfigurier- und erweiterbar. Damit ist ein Weiterbetrieb der SINA Komponenten auch bei Ausfall von Teilen des SINA Managements gewährleistet. Das SINA Management ermöglicht darüber hinaus: Management der Sicherheitsbeziehungen (IPSec- Tunnel) und ACLs sowie Verteilung dieser ACLs über einen skalierbaren Verzeichnisdienst Konfigurierung der für einzelne Sicherheitsbeziehungen zu nutzenden Kryptoalgorithmen und weitere Parameter (z. B. Schlüssellebensdauer) Konfigurierung und Verwaltung von anwendungsspezifischen Nutzerprofilen für (Terminal-) Serverzugriffe Management der Protokollierungs- und Überwachungsfunktionen (Intrusion Detection & Response) sicheres Online-Update kryptographischer Parameter >> benutzerfreundliches Konfigurationsmanagement >> 7

10 Produktpipeline Die SINA-Architektur ist offen für zukünftige Weiterentwicklungen, die größtenteils bereits kurz vor der Realisierung stehen. SINA Encapsulated Server Der SINA Encapsulated Server kann als Datei- oder Applikationsserver ausgeführt sein. Die Daten werden in einem Kryptodateisystem gehalten. Die Kommunikation mit den Clients erfolgt über eine logisch in den Server integrierte SINA Box. Ein innovatives Berechtigungsmanagement in Verbindung mit einer rollenbasierten Rechteverwaltung erlaubt zudem die Absicherung des Datenbestandes auf dem Server durch ein Vier-Augen-Prinzip. Microsoft Windows basierte Applikationsserver werden in einer sog. virtuellen Maschine betrieben und damit vollständig durch das SINA-System gekapselt. Insbesondere aufwändige bauliche Maßnahmen zur Absicherung von Servern können damit entscheidend minimiert werden oder komplett entfallen. Satellitenoptimierung Die SINA Box kann bereits für eine sichere Datenübertragung via Satellit eingesetzt werden. Eine Optimierung des Satelliten-Übertragungsverfahrens befindet sich derzeitig noch in der Entwicklung. Übliche Optimierungsverfahren scheitern an IPSecverschlüsselten Daten, so dass diese Integration in die SINA Box eine optimale Lösung darstellen wird. Hochgeschwindigkeitsnetze Die weitere Erhöhung der Datendurchsatzrate eröffnet die Möglichkeit, mit der hochsicheren SINA-Architektur auf der Basis von Standard-PC- Systemen in den Bereich von Gigabit-Ethernet vorzustoßen, ohne komplexe parallele Strukturen aufbauen zu müssen. >> SINA-Technologie steht auch mobilen Nutzern zur Verfügung >> 8

11 Priorisierung von Datenströmen Bei der Nutzung kostengünstiger und nicht exklusiv verwendeter Transportwege (z. B. dem Internet) bekommt die priorisierte Weiterleitung besonders wichtiger (z. B. Führungsinformationen) oder zeitsensitiver Daten (z. B. Voice over IP) eine hohe Bedeutung. Dazu werden die Datenpakete auf den SINA-Systemen bevorzugt verarbeitet und mit speziellen Kennungen (DiffServ) versehen. NAT-Unterstützung Eine weitere Erleichterung für mobile Nutzer wird die Unterstützung der weit verbreiteten Netzwerk- Adressumsetzung (NAT) sein. Damit wird es möglich, mit einem SINA Client auch HotSpots in Flughäfen oder Hotels als Netzzugang zu nutzen. Sicherheitsmerkmale System- und Sicherheitssoftware SINA basiert auf einem funktional sehr stark minimalisierten und gehärteten Betriebssystem SINA- Linux. Diese Linux-Plattform wurde zudem durch das BSI intensiv auf ihre Sicherheit analysiert. Die SINA-Software ist auf CD- oder Flash-ROM manipulationsgeschützt gespeichert und wird zusätzlich vor dem Start durch eine Smartcard auf Integrität geprüft. IT-Sicherheitsfunktionen SINA unterstützt und kombiniert eine Vielzahl aktueller Sicherheitstechnologien: Smartcards Public-Key-Infrastruktur (PKI) IPSec-konforme Kryptographie Zugriffskontrolllisten (ACLs) IP-Paketfilter (zum Eigenschutz) kombiniertes Betriebssystem-Audit und rechnerspezifisches Netz-Audit Intrusion Detection & Response >> SINA unterstützt und kombiniert eine Vielzahl aktueller Sicherheitstechnologien >> 9

12 Starke kryptographische Verfahren Die kryptographischen Verfahren in SINA entsprechen dem aktuellen Sicherheitsstandard und sind für den Nutzer frei wählbar. Die Integration proprietärer Kryptoalgorithmen ist kostengünstig möglich: qualitativ hochwertige Erzeugung von Zufallszahlen mittels physikalischer Rauschgeneratoren starke Smartcard-basierte Authentifizierung mittels digitaler Zertifikate (EC-DSA, RSA) Diffie-Hellman (DH) Key Agreement auf elliptischen Kurven basierende Verfahren (EC-DSA, EC-DH) Unterstützung software- und hardwarebasierter Kryptographie: 3DES, Chiasmus (BSI-Algorithmus), AES Libelle (BSI-Algorithmus) auf Kryptochip PLUTO HMAC-SHA 1, HMAC-RIPEMD 160 Hochsicheres Schlüsselmanagement SINA unterstützt ein anwenderfreundliches, hochsicheres Schlüsselmanagement basierend auf dem Internet Key Exchange-Protokoll (IKE). Dabei werden die SINA (Thin) Clients und -Boxen beim Systemstart automatisch konfiguriert. Das Zertifikatsmanagement kann online erfolgen (CMP) und das Schlüsselmanagement enthält eine spezielle IKE-Absicherung für geschlossene Benutzergruppen (CUG). Kostengünstige Hardware SINA nutzt ausschließlich langfristig lieferbare und zudem kostengünstige Standard-PC-Hardware, die mit integrierten oder externen Smartcard-Lesegeräten (KOBIL B1 Pro) oder USB-Smartcard Tokens (Aladdin etoken Pro) ausgerüstet wird. Unterstützt werden dabei CardOS- und TCOS-Smartcards. >> IKE-Absicherung für geschlossene Benutzergruppen >> >> manipulationsgeschützte PC-Hardware >> 10

13 Optional erhalten Sie eine abstrahlungsgeschützte (verzonte) und/oder manipulationsgeschützte (Tamper Protection) PC-Hardware. SINA unterstützt aktuelle PCI-Hardware und ausgewählte PCMCIA-Hardware. Als Netzwerkschnittstellen stehen Ethernet 10/100/1000 MBit/s (TX, FX), Token Ring oder IEEE b WaveLAN gemäß Referenzspezifikation zur Verfügung. Außerdem werden Einwahlfunktionen (PPP, PPPoE) über ISDN-Terminaladapter, analoge Modems, DSL und GSM/GPRS-Handys unterstützt. Hoher Datendurchsatz der SINA Box Eine hohe Geschwindigkeit stellt ein wesentliches Element der Anwenderfreundlichkeit dar. Der Datendurchsatz ist vom verwendeten Kryptoalgorithmus, den Paketlängen und der Anzahl bestehender Sicherheitsbeziehungen zu weiteren SINA-Komponenten abhängig. In der SINA Box skaliert der Datendurchsatz mit der Taktrate der zugrunde liegenden Prozessorhardware und erreicht bis 90 MBit/s mit AES (192 Bit) auf Pentium IV, 2,4 GHz. Weitere Skalierbarkeit ist mittels Load Balancing und entsprechend dimensionierter PC-Hardware realisierbar. >> SINA nutzt langfristig lieferbare und kostengünstige Standard-PC-Hardware >> 11

14 secunet Ihr Partner für IT-Sicherheit secunet ist ein führender europäischer Sicherheitsdienstleister für Informationstechnik und Telekommunikation. Mit 180 Mitarbeitern ist secunet ausschließlich auf IT-Sicherheit fokussiert und bietet das gesamte Leistungsspektrum auf höchstem Niveau an. secunet verfügt über eine umfangreiche Erfahrung in der Analyse, der Implementierung, der Schulung und dem Service von IT-Sicherheitslösungen. Gerade bei höchsten Sicherheitsanforderungen, z. B. signaturgesetzkonformen Trust Centern, hat secunet eine herausragende Marktposition. Auf dieser Basis können wir Sie in folgenden Bereichen unterstützen: Entwicklung von SINA-Integrationskonzepten Entwicklung von SINA-Migrationskonzepten Erarbeitung von Betriebskonzepten Integration von SINA-Komponenten in bestehende Netzwerke Planung und Durchführung von SINA-Roll-outs Konzipierung und Umsetzung ergänzender Absicherungsmaßnahmen (z. B. sichere Linux- Migration im Serverbereich) funktionale Erweiterung von SINA-Komponenten Entwicklung komplementärer SINA-Komponenten Softwarewartung und Support SINA-Schulung Über 400 Kunden können dies bestätigen. Zwei Drittel der DAX 30-Unternehmen setzen auf Sicherheit made by secunet, ebenso wie die renommierten internationalen Adressen ING, Novartis oder Credit Suisse. Darüber hinaus zählt secunet viele staatliche Institutionen zu ihren Kunden. >> führender europäischer Sicherheitsdienstleister >> >> höchstes Sicherheitsniveau >> 12

15 Impressum Verantwortlich und Konzeption: secunet Security Networks AG, Essen Text: secunet Security Networks AG, Essen Gestaltung und Produktion: FUP AG, Essen Fotografie: Uwe Sülflohn secunet Security Networks AG, Essen Diese Broschüre ist auch in englischer Sprache erhältlich.

16 SINA Daten und Fakten PC-Hardware Grundanforderung Intel-kompatible Hardware (gemäß Referenzkonfiguration) optional abstrahlgeschützt (Zonen ) manipulationsgeschützt (Anti Tamper) unterstützte Netzwerk- Schnittstellen 10/100/1000 MBit Ethernet (TX/FX) WaveLAN (802.11b) Token Ring PPP, PPoE Anzahl bis zu vier rote und vier schwarze Netzwerkschnittstellen pro SINA Box-PC-Hardware Authentifizierungs- Smartcards CardOS 4.01 (>= VS-NfD... GEHEIM, token außerdem NATO-RESTRICTED und NATO-SECRET) TCOS 2.0 (<= VS-NfD ) bis zu 25 ACL-Einträge (pro Smartcard) Smartcard-Leser USB-Token KOBIL B1 Professional Aladdin etoken Pro (entspricht CardOS 4.01) Betriebssystem Clients, Gateways, SINA Linux (extrem minimalisiert, Server gehärtet; bootfähig von CD- bzw. Flash-ROM) Management RedHat 9, Mandrake Sicherheitsfunktionen bzw. -dienste Public-Key-Infrastruktur IPSec-konforme Sicherheitsfunktionen Zugriffskontrolllisten (ACLs) IP-Paketfilter Logging Betriebssystem-Audit rechnerspezifisches Netz-Audit Intrusion Detection & Response kryptographische symmetrisch softwarebasiert: Verfahren AES (192 Bit) 3DES Chiasmus hardwarebasiert: Libelle (Kryptochip PLUTO) eigene (SINA Crypto-API unterstützende) Module ladbar Hash, (H)MAC asymmetrisch (HMAC-) SHA1 (HMAC-) RIPEMD 160 Libelle-MAC eigene (SINA Crypto-API unterstützende) Module ladbar RSA EC-DSA Diffie-Hellman Parametersätze ladbar, basierend auf: Diskreten Logarithmen (MODP) Ellyptischen Kurven (ECP) Schlüsselmanagement Protokoll IKE optional Modus: Closed User Group

17 Zertifikats- Protokoll CMP management Standards RFC 1777 (LDAPv2) RFC 2104 (HMAC) RFC 2367 (PFKey) RFC (IPSec) RFC 2459 (X509v3) RFC 2510/2511 (CMP) ISO/IEC (EC-GDSA) Skalierbarkeit Verschlüsselungs- softwarebasierte Kryptographie, leistung Datendurchsatz abhängig von: IP-Paketgröße Prozessortaktfrequenz Anzahl der Prozessoren (Multi-Prozessor-Unterstützung) Kryptoverfahren Schlüssellänge SINA Box beispielhaft auf Pentium IV 2,4 GHz mit AES 90 MBit/s maximal (UDP, optimale Paketgröße) 80 MBit/s TCP 60 MBit/s (gemischte Paketgrößen, Webstone Test) Anzahl aktiver Tunnel Anzahl paralleler Sessions abhängig von RAM-Dimensionierung (einer SINA Box) beispielhaft ca bei 128 MByte max. 6 (SINA Thin Client) max. 4 (SINA Virtual Workstation) Interaktion mit (Terminal-) Servern RDP 4.0, 5.0 (5.2 in Vorbereitung) ICA 6.x, X11 unterstützen: IP-Paketgröße Audio Video Drucken COM-Port-Schnittstellenumleitung (u. a. Barcodeleser) Zulassungen SINA Box VS-NfD VS-VERTRAULICH GEHEIM NATO-SECRET SINA Thin Client VS-NfD VS-VERTRAULICH GEHEIM

18 secunet Security Networks AG Im Teelbruch Essen Deutschland Tel.: Fax: